22 suggerimenti per impedire che il tuo blog Wordpress venga violato

Come evitare che il tuo sito Web WordPress venga hackerato

Indipendentemente dal fatto che tu utilizzi o meno misure di sicurezza all'interno del tuo sito Web o blog in questo momento o meno, il fatto è...

I blogger sensibili prendono sul serio la sicurezza del sito Web e fanno tutto il possibile per impedire che il loro blog WordPress venga violato.

La sicurezza online è un problema molto reale.

Molte persone dimenticano di aggiornare i plugin e non utilizzano l'ultima versione di WordPress. Non farlo può significare un disastro se non hai adottato misure per impedire che il tuo blog venga violato.

Perdere il contenuto del tuo blog o sito Web può distruggere un'attività, una reputazione o solo la presenza online che hai cercato di aumentare; immagina di avere un blog con centinaia di post, commenti e persino link di affiliazione solo per scoprire che è stato distrutto il giorno successivo! Non è una bella sensazione. Tuttavia, ci sono modi per rendere la sicurezza del tuo sito web più forte che migliore.

Puoi aggiungere plugin, aggiornare la struttura del tuo blog, in pratica, ci sono molti modi per rendere sicuro il tuo blog o sito web. Quindi, per aiutarti, ho scritto questo articolo breve ma informativo. Spero che aiuti alcuni di voi.

Questo post è stato messo insieme ovviamente da me, ma anche dal mio geniale amico blog, Julius che gestisce And Break! Dai un'occhiata al suo blog per i miei ottimi consigli.

Come evitare che il tuo sito WordPress venga hackerato

Fai il backup del tuo blog

Prima di apportare modifiche al tuo blog, assicurati di eseguire il backup del tuo blog. Il problema con la maggior parte dei plugin gratuiti è che non eseguono il backup di tutti i tuoi dati. Ad esempio, se il tuo blog WordPress viene eliminato e ripristini il backup da un plug-in gratuito, perderai comunque molti dei tuoi dati come le immagini, poiché non viene eseguito il backup con questi plug-in. Ecco perché consiglierei di utilizzare Backup Buddy che esegue il backup del tuo blog WordPress completo e ti consente di ripristinarlo facilmente in un secondo momento.

Se hai dubbi sul fatto che il tuo blog possa essere violato, assicurati di dare un'occhiata a Backup Buddy.

Usa password complesse

Le password complesse sono essenziali per gli utenti con privilegi elevati come gli amministratori. Senza di loro, il tuo blog sarà vulnerabile agli attacchi di forza bruta. Essenzialmente si tratta di attacchi in cui l'attaccante cerca di indovinare la password passando attraverso molte password - combinazioni di utenti. Se utilizzi password sicure, le possibilità di attacchi di forza bruta di successo diventano estremamente basse.

Ecco alcuni suggerimenti su cosa dovrebbero includere le password sicure:

• utilizzare almeno 1-2 numeri utilizzare caratteri maiuscoli e minuscoli
• usa caratteri speciali come !@#…

Inoltre, non dovresti usare password come la tua data di nascita o i tuoi hobby. Questo tipo di password sono molto insicure poiché gli hacker possono trovare facilmente le informazioni personali.

Un altro passo importante che devi compiere è avere molte password diverse. È bello avere una sola password e accedere a tutto attraverso di essa, ma immagina cosa succede se qualcuno conosce questa password. In pratica può accedere a tutti i tuoi account.

Per questo motivo usa molte password diverse.

Tieniti al passo con patch e aggiornamenti

Questo è un altro passo fondamentale per proteggere il tuo blog. Le patch e gli aggiornamenti vengono creati per correggere le falle di sicurezza e per aggiungere funzionalità al software. Non c'è motivo per non installarli.

In sostanza dovresti anche tenerti informato sui cambiamenti in WordPress e sulle vulnerabilità in generale. Ti consiglio quindi di seguire questi due feed:

• Sviluppo WordPress
• BlogSecurity.net

Il primo è il feed di sviluppo di WordPress in cui vengono pubblicate le nuove versioni e gli ultimi aggiornamenti per WordPress. L'altro è il feed di BlogSecurity.net. Questi ragazzi pubblicano spesso vulnerabilità esistenti nei plugin di WordPress o nello stesso WordPress.

Usa SSH invece di FTP

L'FTP in generale non è sicuro come la gente pensa che sia. Le tue credenziali FTP di solito non sono crittografate e facili da acquisire.

Un'alternativa molto sicura all'FTP è SSH. SSH utilizza un semplice algoritmo per crittografare tutti i dati inviati attraverso di esso, inclusi i file. Leggi questa storia e potresti cambiare idea sull'utilizzo di FTP per caricare!

Usa i temi WordPress supportati

La maggior parte delle persone pensa che i temi WordPress stessi non rappresentino un rischio per la sicurezza, ma alcuni lo fanno. I temi possono rappresentare un rischio per la sicurezza perché non tutti gli sviluppatori web sanno come scrivere codice sicuro.

Per questo motivo, è bene attenersi a un tema che sia supportato e aggiornato di volta in volta. I temi WordPress supportati sono generalmente disponibili per qualche soldo, ma è meglio prevenire che curare. Questi temi a pagamento sono chiamati temi premium. Tali temi sono offerti da siti Web come Woo Themes o Thesis.

Un altro vantaggio dei modelli professionali è che quando incontri dei problemi, hai un posto a cui rivolgerti.

Scansiona i plugin alla ricerca di virus dopo il download

Oggi puoi scaricare facilmente i plugin e installarli in pochi secondi sul tuo blog. Ma devi stare attento al tipo di estensioni che scarichi. I plugin possono contenere codice dannoso. Per questo motivo, ha senso scansionare i malware subito dopo averli scaricati.

In particolare, devi farlo con i plug-in che hai scaricato in luoghi diversi dalla directory dei plug-in di WordPress.

Per questa attività, è meglio utilizzare un software antivirus. I sistemi operativi più recenti verificano automaticamente la presenza di virus dopo aver scaricato i file. Se utilizzi un vecchio sistema operativo, ti consiglio di scansionare la tua directory di download forse una volta alla settimana o subito dopo aver scaricato nuovi file.

Modificare il prefisso della tabella del database

Per rendere il tuo database più sicuro, dovresti cambiare il prefisso della tabella del database. Il prefisso predefinito è wp_ e dovrebbe essere cambiato in qualcosa di diverso, qualcosa di più complicato e difficile da indovinare come 5rt30k_ .

È qui che WP Security Scan è utile poiché lo farà per te. Dovresti comunque installare il plug-in WP Security poiché ti mostrerà potenziali rischi per la sicurezza sul tuo blog.

Limita l'accesso alla directory dei contenuti Wp

Wp-content è un'importante directory di Wordpress. Gli utenti dovrebbero essere in grado di accedere solo a determinati tipi di file all'interno di questa directory. Questi tipi di file includono immagini ( .jpeg , .gif , .png ), Javascript ( .js ), CSS ( .css ) e XML ( .xml ).

Pertanto, ha senso vietare l'accesso a tutti gli altri tipi di dati. Il codice seguente consentirà l'accesso a immagini, file Javascript, CSS e XML ma non consentirà l'accesso a nessun altro dato. Il codice seguente deve essere inserito nel file .htaccess all'interno della cartella wp-content .

Ordine nega, consenti
Rifiutato da tutti
<File ~ “.(xml|css|jpe?g|png|gif|js)$”>
Consenti da tutti
</File>

Questo è tutto ciò che devi fare.

Sicuro wp-config.php

Wp-config.php è un file molto importante poiché contiene tutte le informazioni di accesso e le chiavi che sono vitali per proteggere il tuo blog. Possiamo proteggere il file aggiungendo queste righe al file .htaccess nella directory principale di WordPress (dove si trova il file wp-config ):

# proteggi wp-config.php
<file wp-config.php>
Ordine nega, consenti
Rifiutato da tutti
</file>

Questo codice nega a tutti l'accesso al file wp-config.php .

Nessuna navigazione nella directory

Un altro cambiamento fondamentale relativo alla sicurezza di WordPress è impedire alle persone di navigare nella struttura delle directory del tuo sito web. Se vuoi vedere come appare basta inserire "indice di" in Google e Google elencherà tutti i siti Web che consentono la navigazione delle directory.

Per fermare questo comportamento, tutto ciò che devi fare è aggiungere la riga di codice dal basso al tuo file .htaccess nella directory principale di WordPress.

Opzioni Tutti -Indici

Questo interromperà il comportamento una volta per tutte.

Impedisci ai motori di ricerca di indicizzare la sezione di amministrazione

I crawler dei motori di ricerca indicizzano quasi tutti i contenuti purché venga loro detto di non farlo. La tua sezione di amministrazione indicizzata nei motori di ricerca può essere una grave minaccia alla sicurezza.

Pertanto è bene tenere i crawler lontani da tutte le directory di WordPress. Il modo più semplice per farlo è creare un file robots.txt nella tua directory principale. Quindi inserire il seguente codice nel file:

Non consentire: /wp-*

Proteggi la tua directory di plugin

I plugin che usi possono dire molto a un utente malintenzionato sul tuo sito Web, quindi è consigliabile nasconderli.

Puoi facilmente nascondere i plugin. Prima di tutto, apri un editor di testo e crea semplicemente un file vuoto chiamato index.html . Quindi carica questo file nella tua directory wp-content/plugins/ .

Elimina l'account amministratore predefinito

Eliminando l'account amministratore , gli utenti malintenzionati non conoscono il tuo nome utente così facilmente. Poiché ogni installazione di WordPress viene fornita con un account amministratore, gli hacker avranno più facilità a entrare nel tuo account poiché conoscono già il nome utente.

Non puoi eliminare immediatamente il tuo account amministratore se non hai un nuovo account amministratore, quindi segui questi passaggi:

1. Crea un nuovo account amministratore (con un nome utente difficile da indovinare)
2. Disconnettersi
3. Accedi utilizzando il nuovo account amministratore e password
4. Elimina il vecchio account

Modifica i diritti di accesso predefiniti per gli utenti

I diritti di accesso predefiniti sono abbastanza sicuri, ma se vuoi essere al sicuro e avere un maggiore controllo sui diritti di cui dispone ogni utente del tuo blog, allora questo è essenziale.

È abbastanza semplice configurarlo. Tutto quello che devi fare è:

1. Scarica il plug-in Gestione ruoli
2. Caricalo sul tuo blog WordPress
3. Attivalo

Quindi vai alla sezione Utenti del tuo blog. Lì puoi configurare il plug-in Role Manager in base alle tue esigenze.

Elimina gli account utente inattivi

Gli account utente inattivi sono fastidiosi e anche un rischio per la sicurezza. Alcune persone scelgono password deboli quando si iscrivono al tuo blog. Se l'account è inattivo ma è ancora sul tuo blog, gli utenti malintenzionati potrebbero utilizzare questo account per accedere al tuo blog.

Pertanto la cosa migliore da fare è semplicemente eliminare gli account utente inattivi in ​​WordPress (anche se è necessario assicurarsi che non si rompa nulla). Per farlo, vai alla dashboard di WordPress e fai clic su Utenti . Questo ti porta alla pagina in cui verranno elencati tutti gli utenti.

Quindi vai avanti ed elimina quelli che sai essere inattivi.

Aggiungi le chiavi di autenticazione di WordPress a wp-config.php

L'aggiunta di chiavi di WordPress è un'altra importante misura di sicurezza. Queste chiavi dovrebbero essere casuali e funzionare come sali per i cookie di WordPress, assicurando così una migliore crittografia dei dati degli utenti.

Usa il generatore di chiavi di Wordpress per generare queste chiavi e sostituisci semplicemente, nel file wp-config.php , le righe seguenti con quelle generate:

define('AUTH_KEY', 'metti qui la tua frase unica');
define('SECURE_AUTH_KEY', 'metti qui la tua frase unica');
define('LOGGED_IN_KEY', 'metti qui la tua frase unica');
define('NOnce_KEY', 'metti qui la tua frase univoca');

In realtà è tutto ciò che devi fare.

Impedisci l'hacking del blog WordPress : installa un firewall WordPress

Esiste un plugin chiamato WordPress Firewall 2 che in realtà protegge il tuo blog da hacker malintenzionati. Quello che fa è avvisarti ogni volta che qualcuno sta tentando di hackerare il tuo blog. Ovviamente bloccherà anche il tentativo dell'hacker.

Il problema con questo plugin è che fa il suo lavoro troppo bene. Ciò significa che di solito ti impedisce anche di apportare modifiche al tuo blog. Se modifichi il file del tuo tema WordPress e fai clic su Salva, il plug-in Firewall lo bloccherà. Questo è successo anche a me quando utilizzo manualmente il plugin Smush.it.

Questo è estremamente fastidioso ma almeno ti mostra che il plugin funziona davvero. L'unica cosa che puoi fare se vuoi modificare file come questi è disabilitare il plug-in e riattivarlo in un secondo momento.

Rilascia la stringa della versione di Wordpress

<meta content=”Wordpress 2.5″ />

La stringa di versione che WordPress aggiunge automaticamente al tuo tema è importante perché fornisce a un utente malintenzionato informazioni sul fatto che un blog sia stato aggiornato o meno. Se si tratta di una versione obsoleta, l'attaccante inizierà immediatamente a cercare falle di sicurezza rese pubbliche su quella specifica versione di WordPress.

WordPress di solito aggiunge automaticamente questa stringa di versione al tuo tema. La riga di codice seguente dirà a WordPress di non aggiungere la stringa di versione all'intestazione. Tutto quello che devi fare è aggiungere il codice al tuo file functions.php .

<?php remove_action('wp_head', 'wp_generator'); ?>

Ora dai un'occhiata al codice sorgente del tuo sito web. Se il meta tag del generatore è ancora lì, dovresti controllare se il tuo header.php contiene una tale riga:

<meta name=”generatore” content=”WordPress <?php bloginfo('version'); ?>” />

In tal caso, vai avanti ed eliminalo.

Impedisci che il blog di WordPress venga violato: usa sempre HTTPS quando accedi alla tua dashboard

HTTPS è la versione sicura di HTTP. Quando si utilizza HTTPS i dati, ad esempio password e nomi utente, non vengono inviati in chiaro, ma vengono crittografati. Ciò rende più difficile per le persone intercettare e decodificare correttamente la password e il nome utente.

Se desideri utilizzare HTTPS quando accedi alla dashboard di WordPress, puoi utilizzare uno dei codici seguenti e aggiungerli a wp-config.php .

define('FORCE_SSL_LOGIN', true);

Il codice sopra obbliga WordPress a utilizzare SSL quando accedi al tuo pannello di amministrazione ma solo quando accedi. Non impone l'uso di SSL durante l'utilizzo della dashboard.

Invece di farlo manualmente, puoi anche semplicemente aggiungere un plugin come WordPress HTTPS (SSL)

Per impedire che il blog di WordPress venga violato – Blocca i tentativi di accesso alla directory wp-admin

La cartella wp-admin è una delle directory più importanti del tuo blog. Puoi accedere alla tua dashboard attraverso di essa. Impedire ad altre persone di accedere a questa directory è un passaggio essenziale per proteggere il tuo blog.

Puoi farlo creando un file .htaccess nella directory wp-admin . Aggiungi il codice qui sotto ma cambia gli indirizzi IP con i tuoi. Se non sai qual è il tuo indirizzo IP, visita WhatIsMyIP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Controllo accessi"
AuthType di base
ordinare negare, consentire
rifiutato da tutti
# whitelist indirizzo IP di casa
consentire da 64.233.169.99
# whitelist indirizzo IP di lavoro
consentire da 69.147.114.210
consentire da 199.239.136.200

Non ha senso usare questo codice se ci sono molte persone che scrivono sul tuo blog, soprattutto se cambiano continuamente. Il problema è che devi sempre aggiungere/eliminare indirizzi IP, in base a chi ha bisogno di accedere al tuo blog in questo momento.

Un altro inconveniente è quando il tuo provider Internet ti assegna un indirizzo IP dinamico, il che significa che il tuo indirizzo IP cambia costantemente. In tal caso, non aggiungere il codice al file .htaccess .

Per impedire che il blog di WordPress venga violato - Limita il numero di tentativi di accesso a WordPress falliti

Limitare il numero di tentativi falliti impedisce agli utenti di utilizzare tecniche di forza bruta sul tuo account WordPress. Un attacco di forza bruta è un tentativo di scoprire la password dell'utente provando ogni singola password possibile.

Come contromisura, ci sono plugin che bannano automaticamente un utente per un'ora se ha sbagliato la password tre volte di seguito. Login Lockdown è uno di questi plugin per WordPress.

Nascondi errori di accesso al dashboard

Hai mai notato che quando provi ad accedere con un nome utente esistente e una password errata, ricevi un messaggio che dice Error: Incorrect Password . Se accedi con un nome utente inesistente e una password, viene visualizzato un messaggio diverso che riporta Errore: Nome utente non valido .

Questo aiuta gli utenti malintenzionati a capire che tipo di nomi utente esistono.

Pertanto ti consiglio di aggiungere la seguente riga al tuo file functions.php :

add_filter('login_errors',create_function('$a', “return null;”));

Ogni volta che si verifica un errore apparirà una riga vuota. Provalo.

Articolo consigliato: 10 modi per migliorare la sicurezza del blog